一、概述
公钥基础设施(Public Key Infrastructure,简称PKI)是目前网络安全建设的基础与核心,是电子商务安全实施的基本保障,因此,对PKI技术的研究和开发成为目前信息安全领域的热点。本文对PKI技术进行了全面的分析和总结,其中包括PKI组成、PKI应用等,并对CA的开发做了简要分析。本文对PKI,特别是CA的开发、应用和普及具有一定的促进作用。
二、 PKI技术的信任服务及意义
(一)PKI技术的信任服务
公钥基础设施PKI是以公开密钥技术为基础,以数据的机密性、完整性和不可抵赖性为安全目的而构建的认证、授权、加密等硬件、软件的综合设施。
PKI安全平台能够提供智能化的信任与有效授权服务。其中,信任服务主要是解决在茫茫网海中如何确认“你是你、我是我、他是他”的问题,PKI是在网络上建立信任体系最行之有效的技术。授权服务主要是解决在网络中“每个实体能干什么”的问题。在虚拟的网络中要想把现实模拟上去,必须建立这样一个适合网络环境的有效授权体系,而通过PKI建立授权管理基础设施PMI是在网络上建立有效授权的最佳选择。
到目前为止,完善并正确实施的PKI系统是全面解决所有网络交易和通信安全问题的最佳途径。根据美国国家标准技术局的描述,在网络通信和网络交易中,特别是在电子政务和电子商务业务中,最需要的安全保证包括四个方面:身份标识和认证、保密或隐私、数据完整性和不可否认性。PKI可以完全提供以上四个方面的保障,它所提供的服务主要包括以下三个方面:
1、认证
在现实生活中,认证采用的方式通常是两个人事前进行协商,确定一个秘密,然后,依据这个秘密进行相互认证。随着网络的扩大和用户的增加,事前协商秘密会变得非常复杂,特别是在电子政务中,经常会有新聘用和退休的情况。另外,在大规模的网络中,两两进行协商几乎是不可能的。透过一个密钥管理中心来协调也会有很大的困难,而且当网络规模巨大时,密钥管理中心甚至有可能成为网络通信的瓶颈。
PKI通过证书进行认证,认证时对方知道你就是你,但却无法知道你为什么是你。在这里,证书是一个可信的第三方证明,通过它,通信双方可以安全地进行互相认证,而不用担心对方是假冒的。
2、支持密钥管理
通过加密证书,通信双方可以协商一个秘密,而这个秘密可以作为通信加密的密钥。在需要通信时,可以在认证的基础上协商一个密钥。在大规模的网络中,特别是在电子政务中,密钥恢复也是密钥管理的一个重要方面,政府决不希望加密系统被犯罪分子窃取使用。当政府的个别职员背叛或利用加密系统进行反政府活动时,政府可以通过法定的手续解密其通信内容,保护政府的合法权益。PKI能够通过良好的密钥恢复能力,提供可信的、可管理的密钥恢复机制。PKI的普及应用能够保证在全社会范围内提供全面的密钥恢复与管理能力,保证网上活动的健康有序发展。
3、完整性与不可否认
完整性与不可否认是PKI提供的最基本的服务。一般来说,完整性也可以通过双方协商一个秘密来解决,但一方有意抵赖时,这种完整性就无法接受第三方的仲裁。而PKI提供的完整性是可以通过第三方仲裁的,并且这种可以由第三方进行仲裁的完整性是通信双方都不可否认的。例如,小张发送一个合约给老李,老李可以要求小张进行数字签名,签名后的合约不仅老李可以验证其完整性,其他人也可以验证该合约确实是小张签发的。而所有的人,包括老李,都没有模仿小张签署这个合约的能力。“不可否认”就是通过这样的PKI数字签名机制来提供服务的。当法律许可时,该“不可否认性” 可以作为法律依据(美国等一些国家已经颁布数字签名法)。正确使用时,PKI的安全性应该高于目前使用的纸面图章系统。
完善的PKI系统通过非对称算法以及安全的应用设备,基本上解决了网络社会中的绝大部分安全问题(可用性除外)。PKI系统具有这样的能力:
它可以将一个无政府的网络社会改造成为一个有政府、有管理和可以追究责任的社会,从而杜绝黑客在网上肆无忌惮的攻击。在一个有限的局域网内,这种改造具有更好的效果。目前,许多网站、电子商务、安全E-mail系统等都已经采用了PKI技术。
三、PKI应用
PKI技术的广泛应用能满足人们对网络交易安全保障的需求。当然,作为一种基础设施,PKI的应用范围非常广泛,并且在不断发展之中,下面给出几个应用实例。
1. 虚拟专用网络(VPN)
VPN是一种架构在公用通信基础设施上的专用数据通信网络,利用网络层安全协议(尤其是IPSec)和建立在PKI上的加密与签名技术来获得机密性保护。基于PKI技术的IPSec协议现在已经成为架构VPN的基础,它可以为路由器之间、防火墙之间或者路由器和防火墙之间提供经过加密和认证的通信。虽然它的实现会复杂一些,但其安全性比其他协议都完善得多。
2. 安全电子邮件
作为Internet上最有效的应用,电子邮件凭借其易用、低成本和高效已经成为现代商业中的一种标准信息交换工具。随着Internet的持续增长,商业机构或政府机构都开始用电子邮件交换一些秘密的或是有商业价值的信息,这就引出了一些安全方面的问题,包括:消息和附件可以在不为通信双方所知的情况下被读取、篡改或截掉;发信人的身份无法确认。电子邮件的安全需求也是机密、完整、认证和不可否认,而这些都可以利用PKI技术来获得。目前发展很快的安全电子邮件协议是S/MIME (The Secure Multipurpose Internet Mail Extension),这是一个允许发送加密和有签名邮件的协议。该协议的实现需要依赖于PKI技术。
3. Web安全
浏览Web页面是人们最常用的访问Internet的方式。如果要通过Web 进行一些商业交易,该如何保证交易的安全呢?为了透明地解决Web的安全问题,在两个实体进行通信之前,先要建立SSL连接,以此实现对应用层透明的安全通信。利用PKI技术,SSL协议允许在浏览器和服务器之间进行加密通信。此外服务器端和浏览器端通信时双方可以通过数字证书确认对方的身份。-结合SSL协议和数字证书,PKI技术可以保证Web 交易多方面的安全需求,使Web上的交易和面对面的交易一样安全。
PKI的应用非常广泛,包括在web服务器和浏览器之间的通讯、电子邮件、电子数据交换(EDI)、在Internet上的信用卡交易和虚拟私有网(VPN)等。
一个简单的PKI系统包括证书机构CA、注册机构RA和相应的PKI存储库。CA用于签发并管理证书;RA可作为CA的一部分,也可以独立,其功能包括个人身份审核、CRL管理、密钥产生和密钥对备份等;PKI存储库包括LDAP目录服务器和普通数据库,用于对用户申请、证书、密钥、CRL和日志等信息进行存储和管理,并提供一定的查询功能。
络安全无小事,任何一个细小的疏忽都有可能带来岌岌可危的后果。当网络数据正越来越成为具有重要商业价值的资产,无论个人还是企业都应重视。我们不仅希望像数安时代GDCA这样的服务商能够从技术和服务上将网络风险降到最低,同时更要企业增强自我网络安全意识,选择有服务品质保障的电子认证服务商进行合作,只有多方共同携手,才能撑起隐私和数据安全的“保护伞”。
数安时代GDCA是经过国家认可的CA机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。并提供真实有效的信息以便顺利下发证书。数安时代拥有丰富的行业经验和专业的技术支持团队,除了自主品牌GDCA,还有Symantec、Globalsign、GeoTrust等品牌,选择更多,一次性对比,提供行业最优惠的价格。有需要可以咨询客服了解产品。
本站写作的目的就是想帮助对互联网、对SSL证书有需要的人,所以欢迎同行网站转载本站文章,但是希望您注明来源,并留下原文链接地址,这是对文章作者的尊重,也是对您本人、对知识的尊重。
领取优惠
提交成功!